Меню

Dfl 860e настройка alg



Интернет для LAN на D-Link DFL 860E

Выход в интернет для локальной сети на маршрутизаторе D-Link DFL 860E

Я хочу оформить, как пошаговое руководство такую задачу, как настройка маршрутизатора D-Link DFL 860E, в роли текущей темы выступит простая функция, как организация выход в интернет для локальной сети которую обслуживает маршрутизатор . Если У Вас задача настроить DFL 860E и вы не знаете как подступиться к нему, то с помощью этой заметки у Вас есть шанс победить данную проблему.

Версия прошивки: 2.60.02.02-24262 May 27 2014

https://192.168.10.1 — user&pass — Network — Interfaces and VPN — (Link Layer) Ethernet

нужно перейти в сеть lan (четвертая строка по списку настройки оборудования) изменить поле Default Gateway c (None) на wan1_ip и нажать OK и сохранить изменения в конфигурацию.

Затем нужно настроить работу порта wan1 что настройки он берет от провайдера либо указанные вручную либо статически . У меня динамические

https://192.168.10.1 — user&pass — Network — Interfaces and VPN — (Link Layer) Ethernet нужно перейти в сеть wan1 (первая строка по списку настройки оборудования) и вижу что по умолчанию установлена галочка

  • Name: wan1
  • IP Address: wan1_ip
  • Network: wan1net
  • Default Gateway: wan1_gw (если подключаем маршрутизатор к настоящему интернету, а не текущей локальной сети, у моем случае я эту настройку оставляю как есть (None)
  • Receive Multicast Traffic: Auto
  • Enable DHCP Client: установлена галочка по дефолту.

Нажимаю кнопку Cancel так как я ничего не изменял, но можно и OK.

Для удобства дальнейшего администрирования оборудования произвожу действия по заметке чтобы подключаться через браузер на IP адрес wan1_ip порта .

Проверяю, подключаю кабель в порт 1 группы WAN к интернету или оборудованию в локальной сети.

Далее подключаюсь к своему маршрутизатору (2011UiAS-2HnD) в локальной сети и уточняю какой IP адрес получил DFL 860E. На микротик передается HOST-NAME DFL вида: ethMAC_ADDRESS. Посмотреть какой MAC адрес порта WAN1 на DFL

https://192.168.10.1 — user&pass — Status — Run-time Information — (Sub Systems) Interfaces

  • Interface: wan1
  • MAC Address: здесь указан mac адрес интерфейса, в моем случае это: c8-d3-a3-fc-c3-d5

Теперь зная MAC Address это я произвожу поиск адреса выданного от DHCP сервиса Mikrotik (2011UiAS-2HnD) на порт WAN оборудования D-Link DFL 860E:

[ekzorchik@ekzorchik] > ip dhcp-server lease print where host-name=ethc8d3a3fcc3d5

Flags: X — disabled, R — radius, D — dynamic, B — blocked

# ADDRESS MAC-ADDRESS HOST-NAME SERVER RATE-LIMIT STATUS

0 D 172.33.33.54 C8:D3:A3:FC:C2:D7 ethc8d3a3fcc3d5 dhcp1 bound

Вот адрес 172.40.40.54, копирую его и указываю в браузере URL ссылку вида: https://172.40.40.54 и меня приветствует окно авторизации на маршрутизаторе DFL 860E. Значит все получилось. Ну а дальше нужно настроить выход в интернет подключенной техники к порту c 1 по 8 группы lan адресного пространства 192.168.10.0/24

Поднимаю DHCP сервис:

https://192.168.10.1 — user&pass — Network — Network Services — (DHCP) DHCP Servers — Add

вкладка General

  • Name: dhcp_lan
  • Interface Filter: lan
  • IP Address Pool: lan_pool (Создал ранее объект: 192.168.10.10-192.168.10.20)
  • Netmask: subnet_mask (Создал ранее объект: 255.255.255.0)

вкладка Options

  • Default GW: lan1_ip
  • DNS: (Primary) изменяю дефолтное значение (None) → New Object — IP 4 Address — вкладка General
  • Name: wan1_dns
  • Address: 8.8.8.8
Читайте также:  Настройка sfpt по ssh

и нажимаю кнопку OK, OK и сохраняю изменения в конфигурацию

Проверяю на ноутбуке подключенном кабелем ethernet к порту 2 группы LAN маршрутизатора DFL 860E что он получил сетевой адрес от DHCP— сервиса . И да он получил 192.168.10.10

Но вот выход в интернет у него закрыт. Нужно создать правило разрешающее выход трафика:

https://192.168.10.1 — user&pass — Policies — Firewalling — (Rules) Main IP Rules — Add — IP Rule

  • Name: lan_output
  • Action: NAT
  • Service: all_tcpudpicmp
  • Schedule: (None)
  • Source: (Interface) lan
  • Source: (Network) lannet
  • Destination: (Interface) wan1
  • Destination: (Network) all-nets

и нажимаю OK и сохраняю изменения в конфигурацию.

Теперь снова проверяю, что ноутбук с адрес 192.168.10.10 видит интернет. Делаю в консоли ping 8.8.8.8 ответы приходят о доставке, ping mail.ru ответы приходят о доставке. Значит я все сделал правильно.

Если нужно иметь возможность проверять, а доступно ли оборудование из вне через ICMP запрос . По умолчанию такая возможность выключена. И это правильно и безопасно, чем меньше кто-либо знает об работающем оборудовании смотрящем в интернет тем безопаснее Вы себя чувствуете. Но все как разрешить?

https://192.168.10.1 — user&pass — Policies — Firewalling — (Rules) Main IP Rules — Add — IP Rule

вкладка General

  • Name: wan1_ping_in
  • Action: Allow
  • Service: ping-inbound
  • Source: (Interface) wan1
  • Source: (Network) all-nets
  • Destination: (Interface) core
  • Destination: (Network) wan1_ip

После чего на запросы извне маршрутизатор DFL 860E отвечает:

PING 172.33.33.54 (172.33.33.54) 56(84) bytes of data.

64 bytes from 172.33.33.54: icmp_seq=1 ttl=255 time=2.19 ms

64 bytes from 172.33.33.54: icmp_seq=2 ttl=255 time=0.891 ms

На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Источник

Настройка межсетевого экрана D-Link DFL-860E

Пример настройки межсетевого экрана D-Link DFL-860E

В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения

Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.

  1. Создание адресной книги
  2. Конфигурирование интерфейсов
  3. Настройка маршрутизации
  4. Настройка правил безопасности
  5. Конфигурирование VPN сервера
  6. Настройка маршрутизации VPN
  7. Настройка правил безопасности
  1. Устройство сети

Сеть состоит из внутренней сети LAN, Сети DMZ

Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.

Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.

Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.

Последовательность шагов настройки роутера D-Link DFL-860E

2 Создание адресной книги D-Link DFL-860E

В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером

3 Конфигурирование интерфейсов D-Link DFL-860E

Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер

Читайте также:  Почему одинаковый фпс при разных настройках графики

Настраиваем интерфейсы. Заходим во вкладку Inte rfaces – Ethernet

Wan1 подключен к Корбине. Адрес получает автоматически.

Вкладка Hardware по умолчанию

Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов

WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге

Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.

Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS : internet . beeline . ru . Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.

Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU

С метрикой надо поподробнее:

Из текущих настроек наименьшую метрику имеет интерфейс WAN 1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L 2 TP -соединение Установить метрику L2TP-Клиента меньше чем на WAN 1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.

Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan 1 -100

Весь трафик идет через wan 1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение

4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E

Смотрим основную таблицу:

Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100

Маршрут в интернет соединение Корбины L2TP с метрикой 110

Запасной маршрут в ПТН с метрикой 120

Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины

Создаем для этого еще одну таблицу маршрутизации forward_routing

В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН

А теперь самое интересное

Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации

Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации

Читайте также:  Настройки для оцифровки видеокассет

В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan 1, к нему применятся таблица маршрутизации forward _ routing , которая направляет его в интерфейс L 2 TP . Для приходящих обратно пакетов работает таблица main

Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward _ routing

Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2

В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2

Для того чтобы входящие пакеты с интерфейса wan 2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan 2 необходимо создать еще одно правило: short_wan2_back

Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.

5 Настройка правил безопасности D-Link DFL-860E

Правило 2 разрешает пинг маршрутизатора из локальной сети

Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть

Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть

Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса

Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет

Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины

Правило 1-13 проброс внутренних сервисов через интерфес WAN 2 второго провайдера в интернет

Правило 14 включает преобразование адресов NAT на интерфейсе WAN 2 второго провайдера

6 Конфигурирование VPN сервера D-Link DFL-860E

Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.

Создаем новый Pre shared key

Заходим в interfaces / IPSec и создаем новый интерфейс

Вкладка Authentication . Выбираем Preshared key который мы создали ранее

Во вкладке Routing отмечаем автоматическое добавление маршрута

Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:

Заходим в User Authentication / Local User Databases и создаем базу для удаленных пользователей:

После чего создам самих удаленных пользователей

Идем в User Authentication / User Authentication Rules и создаем правило аутентификации . Привязываемся там ко всем объектам, которые мы создали ранее

Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.

7 Настройка маршрутизации для VPN . D-Link DFL-860E

При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно

8 Настройка правил безопасности D-Link DFL-860E

Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ

При желании можно правила ужесточить и назначить только специфические сервисы

Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»

Источник

Adblock
detector